Tämä on mainospaikka (näillä pidetään sivusto pystyssä)

Kevään suuri PSN-katko (Status 9.6. Elämä normaalissa kuosissa)

  • Viestiketjun aloittaja Viestiketjun aloittaja TT-2k
  • Aloituspäivämäärä Aloituspäivämäärä
Status
Uusia vastauksia ei voi lisätä.
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Nyt oli tullu USA tilin mailiin Sonyltä kirjettä. Tosin se on täysin sama kuin tuo virallisella sivuilla annettu tiedote :)
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Logs - efnet - #ps3dev - 2011-02-16

Siinä jollekin asiasta kiinnostuneelle vähän iltalukemista. Näyttäisi pahasti siltä, että PSN:n väliset palikat keskustelee korttitietojen välityksellä ihan plaintextinä, vaikka itse korttidatabase olisikin kryptattu.

Vähän makupaloja:
[12:35:15] <SKFU> it could be that its used for online playtime or psn logged in playtime
[12:35:39] <SKFU> aswell you should never ever install a CFW from someone unknown
[12:35:56] <SKFU> cuz its way too easy todo scamming at this point
[12:36:00] <SKFU> for example:
[12:37:05] <SKFU> creditCard.paymentMethodId=VISA&creditCard.holderName=Max&creditCard.cardNumber=4558254723658741&creditCard.expireYear=2012&creditCard.expireMonth=2&creditCard.securityCode=214&creditCard.address.address1=example street%2024%20&creditCard.address.city=city1%20&creditCard.address.province=abc%20&creditCard.address.postalCode=12345%20
[12:37:15] <SKFU> sent as plaintext
[12:37:30] <rms> uh
[12:37:35] <rms> did you censor that card?
[12:37:39] <SKFU> ya its fake
[12:37:46] <rms> good
[12:37:53] <eussNL> wow, plaintext :S
[12:37:59] <ikke> plaintext wow
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Siinä jollekin asiasta kiinnostuneelle vähän iltalukemista. Näyttäisi pahasti siltä, että PSN:n väliset palikat keskustelee korttitietojen välityksellä ihan plaintextinä, vaikka itse korttidatabase olisikin kryptattu.
Tämä asia käsiteltiin jo helmikuussa.

Korttitiedot välitetään (sen salatun SSL-putken läpi) vain siinä vaiheessa, kun ne lisätään PSN-profiiliin. Tämän jälkeen tiedot ovat enää vain PSN:n palvelimilla, ei PS3:ssa itsessään, eikä luottokortin numeroa kuljeteta enää kumpaankaan suuntaan. Jos korttitiedot olisivat "selväkielisenä tekstitiedostona" (kuten lähde väittää), voisi kuka tahansa custom-firmiksen omistaja jo nyt kaivaa tiedot esiin Pleikkaristaan. Esim. näiden "backup managerien" mukana tulee myös FTP-serverisofta, jonka kautta voi tietokoneelleen letkuttaa vaikka koko kiintolevyn sisällön. Sieltä vaan etsimään. (Vihje: ei löydy.)
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Jeps, muistelinkin lukeneeni tuosta keskustelua. Kummasti noita poksahtelee pintaan näin kohun aikaan, mutta silti herättää kovasti epäluottamusta ko. järjestelmää kohtaan. Uskon kaiken olevan salattuna, mutta kukapa tietää, maailmalla jo huhutaan, että kortteja olisi (muka) jo abusettu.

Edittinä vielä sen verran, että luottokorttitiedot ja niiden takana oleva järjestelmä on kuitenkin auditoitu visan, mastercardin jne määrittämän tahon toimesta, joten tämä taho on vastuussa tietoturvan oikeellisuudesta, ja uskon sen olevan ihan asianmukaisesti toteutettu. Ei voida kuitenkaan poissulkea sitä asiaa, että se koko paketti, vaikkakin salattuna, on nyt jonkun hallussa melko suurella todennäköisyydellä, ja se on sitten vain laskentatehon/kapasiteetin määrittämää, kuinka nopeasti tuo purku on avattavissa, jos milloinkaan.
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Uskon kaiken olevan salattuna, mutta kukapa tietää, maailmalla jo huhutaan, että kortteja olisi (muka) jo abusettu.
Lienee paikallaan nostaa muutama päivä sitten kirjoittamani viesti uudestaan esiin:

1) Älä usko huhuja.
2) Älä varsinkaan levitä huhuja eteenpäin.
3) Älä kitise. Negatiivisuus on huono mielentila ja se tarttuu myös muihin.
4) Älä peeloile. Vaikka huumori jossain määrin helpottaakin, voivat herkimmät ottaa muka hauskoiksikin tarkoitetut heitot silkkana vinoiluna.
5) Ole kärsivällinen. Sittenkin kun PSN on periaatteessa saatu jaloilleen, on alussa lähes satavarmasti tiedossa pieniä ongelmia miljoonien käyttäjien rynnätessä linjoille yhtä aikaa.


Näillä eväillä pääsee jo aika pitkälle ja säästää niin foorumitoverien kuin ylläpidonkin hermoja.

PS. Listauksen pointit eivät siis olleet suunnattu Kenzylle henkilökohtaisesti, vaan ihan kaikille.
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Väitteet siitä että PSN:n turvallisuus olisi ollut riittävällä tasolla asettuvat outoon valoon Sonyn uusimpien paljastusten johdosta.

Sonylla ei edes ollut havaintoa mitä verkossa tapahtui ilman ulkopuolisen tahon apua. Kaverit ovat hyvässä tapauksessa olleet sisällä kuukausia kuten f-securekin pelotelee Twitter / Mikko H. Hypponen: A report of fraud done on ...

Vasta nyt todettiin tarve uudelle datakeskukselle ja paremmalle turvallisuudelle. Kaikki muu paitsi luottokortit oli jätetty kokonaan salaamatta
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Q&A #1 for PlayStation Network and Qriocity Services – PlayStation Blog

**
"The entire credit card table was encrypted and we have no evidence that credit card data was taken. The personal data table, which is a separate data set, was not encrypted, but was, of course, behind a very sophisticated security system that was breached in a malicious attack."

"While all credit card information stored in our systems is encrypted and there is no evidence at this time that credit card data was taken, we cannot rule out the possibility."
**

Luottokortti-tiedot ovat olleet kryptatty (jos on oikea termi), mutta "personal data" ei. Eli se siitä teoriasta, että kaikki olisivat olleet vain "plain textinä".

En tiedä kuuluvatko PSN salasanat nyt sitten "personal data tableen"?
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

En tiedä kuuluvatko PSN salasanat nyt sitten "personal data tableen"?
Varmuudellahan tuota ei pysty sanomaan, ellei pääse niihin datoihin itse käsiksi. Ja kyllä ne salasanat voivat silti olla olleet hashattuina, vaikka nimet, osoitteet, jne. olisivatkin olleet samassa tietokantataulussa selväkielisinä.

Mutta kuten on moneen kertaan todettu, tuo salasanojen hashaus on mahdollista tehdä vaikka kuinka monella tavalla, ja valitettavasti osa niistä on todella heikkoja "suojauksia". En usko, että Sony kertoo todella tarkalla teknisellä tasolla, millä tavalla mikäkin tieto oli suojattu (tai kuinka ne tullaan jatkossa suojaamaan).
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

En usko, että Sony kertoo todella tarkalla teknisellä tasolla, millä tavalla mikäkin tieto oli suojattu (tai kuinka ne tullaan jatkossa suojaamaan).

Juu, ei varmasti kerro. Tavallaan ei tulla koskaan tietämään tarkkoja yksityiskohtia tai välttämättä laajuutta tuosta murrosta. Sen verran salaisista asioista puhutaan.
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Väitteet siitä että PSN:n turvallisuus olisi ollut riittävällä tasolla asettuvat outoon valoon Sonyn uusimpien paljastusten johdosta.

Tuo viittaamasi PS3hax siten juttu on hieman kummallinen, eikä siitä saanut mitään tolkkua mitä on tapahtunut, ja miten esim. Akamain IP-osoite liittyy mahdolliseen luottokortin väärinkäyttöön. Akamai on maailman suurin content delivery network, jota mm. PSN käyttää kuormantasaukseen ympäri maailman.

Vasta nyt todettiin tarve uudelle datakeskukselle ja paremmalle turvallisuudelle. Kaikki muu paitsi luottokortit oli jätetty kokonaan salaamatta

Tuskin ihan uutta datakeskusta ollaan rakentamassa, mutta käytäntöjä ja policyjä varmasti tiukennetaan entisestään. Yhdessäkään vastaavaa liikenne- ja datamäärää käsittelevässä kannassa ei kaikkea ole kryptattu, se olisi suorituskyvyn ja kustannusten kannalta melkoisen mahdotonta.

Näiden asioiden kohdalla ei kannata hirveästi viisastella, jollei ole itse ollut rakentamassa maailmanlaajuisia järjestelmiä ja itsellä ei ole kokemusta mitä ongelmia ja haasteita sellaiseen liittyy niin infrastruktuurin kuin sovellusarkkitehtuurin osalta.
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

ÖÖÖ....Mites tulis menetellä kun tän katkon johdosta suositellaan uusimaan salasana ja nythän on niin että en muista kuollaksenikaan sitä salasanaa jonka aikoinaan oon järjestelmään laittanu..?
Yritin jo kerran sen linkin "oletko unohtanut salasanasi" kautta uusia sen mutta ei onnistunut jostain syystä tai sit en vaan osannut seurata ohjeita tjms...
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Yritin jo kerran sen linkin "oletko unohtanut salasanasi" kautta uusia sen mutta ei onnistunut jostain syystä tai sit en vaan osannut seurata ohjeita tjms...
Eikä tule onnistumaankaan ennen kuin PSN:n palvelut on nostettu ylös. Eli siihen asti pitää vaan odottaa (ja vaihtaa kaikkialta muualta sama salasana).
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Nyt oli tullu USA tilin mailiin Sonyltä kirjettä. Tosin se on täysin sama kuin tuo virallisella sivuilla annettu tiedote :)

Vahvistan. Onko Euroopan-accojen mailiin tullut minkäänlaista tiedotetta? Minun eurostorelle antamani mailiosoite on nimittäin vuosien saatossa jo lakannut olemasta.
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Yritin jo kerran sen linkin "oletko unohtanut salasanasi" kautta uusia sen mutta ei onnistunut jostain syystä tai sit en vaan osannut seurata ohjeita tjms...

En nyt suoraan muista miten homma PSN-palvelun kohdalla menee, mutta tässä toivon tietysti että laitoit aikoinaan toimivan e-mail-osoitteen, jonne varmaan uuden salasanan resetointi tai vastaava tulee (jos siis käytät "oletko unohtanut salasanasi" -optiota)..

Juuri tuli vastaan, että jostain kumman syystä oman Skypen salasana on totaalisesti unohtunut ja mimmikaverin e-mail vielä vanhentunut (joku ankea Hotmail).. Eli tuli hoidettua tuo aikoinaan tosi huonosti.

Eli käyttäkää aina oikeaa ja aktiivista e-mail osoitetta (ei Hotmail tms pelleilyä) ja muutenkin oikeita tietoja. Niitä saattaa tarvita jopa vuosien jälkeen. Olen sitäkin kuullut, ettei osa uskalla laittaa omaa sähköpostiaan noihin ja sitten kikkaillaan joidenkin epämääräisten kanssa. Itse olen käyttänyt varmaan 10 v samaa e-mail osoitetta kaikkialla eikä ongelmia ole tullut.
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Eikä tule onnistumaankaan ennen kuin PSN:n palvelut on nostettu ylös. Eli siihen asti pitää vaan odottaa (ja vaihtaa kaikkialta muualta sama salasana).

Niin tiedän kyllä ettei onnistu ennen kun palvelin taas ylhäällä. Mutta mitä teen kun se on ja salasana pitäisi vaihtaa??
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Onko Euroopan-accojen mailiin tullut minkäänlaista tiedotetta?
UK-tunnukselleni oli tullut jo eilen, mutta varsinaiselle Suomi-tunnarille ei edelleenkään. Viestin sisältöhän on oleellisesti täysin sama kuin wepissäkin julkaistussa tiedotteessa.
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

En nyt suoraan muista miten homma PSN-palvelun kohdalla menee, mutta tässä toivon tietysti että laitoit aikoinaan toimivan e-mail-osoitteen, jonne varmaan uuden salasanan resetointi tai vastaava tulee (jos siis käytät "oletko unohtanut salasanasi" -optiota)..

Joo on siellä toimiva s-posti.. Kiitokset vastauksesta!
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Mutta mitä teen kun se on ja salasana pitäisi vaihtaa??
Käytät sitä Unohdin salakalani -toimintoa (tai olet yhteydessä viralliseen PS-tukeen).
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Minun eurostorelle antamani mailiosoite on nimittäin vuosien saatossa jo lakannut olemasta.

... toivon tietysti että laitoit aikoinaan toimivan e-mail-osoitteen, jonne varmaan uuden salasanan resetointi tai vastaava tulee (jos siis käytät "oletko unohtanut salasanasi" -optiota)..
...
Eli käyttäkää aina oikeaa ja aktiivista e-mail osoitetta (ei Hotmail tms pelleilyä) ja muutenkin oikeita tietoja. Niitä saattaa tarvita jopa vuosien jälkeen.

Nyt alkoi jo vähän jänskättää, että saanko tiliäni ollenkaan takaisin käyttöön enää palvelun uudelleen aktivoimisen jälkeen.

Pro tip: älkää käyttäkö oppilaitoksen mailitunnuksia tällaisiin asioihin. Saattaa nimittäin olla, että laitos lakkauttaa tilinne valmistumisen jälkeen, ettekä satu muistamaan minne kaikkiallla olette juuri kyseistä mailiosoitetta käyttäneet ennen kuin on liian myöhäistä.
 
Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Jos asetuksissa on automaattinen kirjatuminen, niin nuo tiedot eivät varmaan ole minnekkään kadonnut koneelta, kun palvelu tulee pystyy. Sonylta oli mainittu (blog tai vastaava lähde), että salasana pakotetaan vaihtamaan kirjautumisen yhteydessä.
 
Status
Uusia vastauksia ei voi lisätä.
Ylös Bottom